ペネトレーションテスター フリーランスの始め方|セキュリティ診断の案件と収入
この記事のポイント
- ✓ペネトレーションテスター(ペンテスター)がフリーランスとして独立する方法を解説
- ✓セキュリティ診断の案件単価
- ✓案件獲得のコツを紹介します
サイバー攻撃の高度化に伴い、ペネトレーションテスト(侵入テスト)の需要が急増しています。企業のシステムに対して擬似的な攻撃を行い、脆弱性を発見・報告するペネトレーションテスター(ペンテスター)は、セキュリティ分野の中でも特に高単価な職種です。
フリーランスのペンテスターは、1案件あたり50〜300万円という高い報酬を得られます。セキュリティ人材の不足は深刻で、経済産業省の試算では国内のセキュリティ人材は約11万人不足しているとされています。
ペネトレーションテスター フリーランスの市場概況
| 項目 | 内容 |
|---|---|
| 月額単価(常駐) | 80〜130万円 |
| 案件単価(スポット) | 50〜300万円/件 |
| 求められる経験年数 | 3年以上(セキュリティ実務) |
| リモート率 | 約40〜50% |
ペネトレーションテストの種類と単価
Webアプリケーション診断
Webサイトやアプリケーションの脆弱性を診断します。SQLインジェクション、XSS、認証・認可の不備、CSRFなどを検出します。
| 規模 | 単価目安 | 期間 |
|---|---|---|
| 小規模サイト(10画面以下) | 30〜60万円 | 3〜5日 |
| 中規模サイト(30画面程度) | 60〜120万円 | 1〜2週間 |
| 大規模サイト(100画面以上) | 120〜300万円 | 2〜4週間 |
最も案件数が多く、フリーランスが最初に狙うべき領域です。
ネットワーク・インフラ診断
社内ネットワークやサーバーインフラに対する侵入テストです。外部からの攻撃(External)と、内部ネットワークに侵入した前提での攻撃(Internal)があります。
- External ペネトレーションテスト: 50〜150万円
- Internal ペネトレーションテスト: 80〜200万円
- Red Team Assessment: 200〜500万円
モバイルアプリ診断
iOS/Androidアプリのセキュリティ診断。アプリの逆コンパイル、通信の傍受、ローカルデータの保存状況などを検査します。
1アプリあたり50〜100万円が相場で、Web診断と合わせて依頼されることが多いです。
クラウド環境診断
AWS、Azure、GCPなどのクラウド環境の設定不備を検出します。IAM設定、S3バケットの公開設定、セキュリティグループの穴など。
クラウドシフトの加速に伴い需要が急増しており、月額90〜130万円の常駐案件もあります。
必要なスキルと知識
技術スキル
| スキル | 重要度 | 詳細 |
|---|---|---|
| Webアプリケーションセキュリティ | ★★★★★ | OWASP Top 10の理解と攻撃手法 |
| ネットワーク知識 | ★★★★★ | TCP/IP、DNS、HTTP、SSL/TLS |
| OS知識(Linux/Windows) | ★★★★★ | 権限昇格、ポストエクスプロイト |
| スクリプティング | ★★★★☆ | Python、Bash、PowerShell |
| クラウドセキュリティ | ★★★★☆ | AWS/Azure/GCPの設定・監査 |
| リバースエンジニアリング | ★★★☆☆ | マルウェア解析、バイナリ分析 |
主要ツール
- Burp Suite: Webアプリ診断の必須ツール
- Nmap: ポートスキャン・サービス検出
- Metasploit: エクスプロイトフレームワーク
- Wireshark: パケット分析
- Kali Linux: セキュリティツール統合OS
- BloodHound: Active Directory攻撃パス分析
- Nuclei: 自動脆弱性スキャナ
レポート作成能力
ペンテスターの価値の半分は「レポート」にあります。技術的な発見を、経営者やIT部門が理解できる形でまとめる力が必要です。
- エグゼクティブサマリー(経営層向け)
- 技術詳細(エンジニア向け)
- リスク評価(CVSS等のスコアリング)
- 改善提案(具体的な対策方法)
取得すべき資格
@SOHOの資格ガイドによると、セキュリティ分野は資格が案件獲得に直結する度合いが高い分野です。特にOSCPは「実技試験」であるため、保有者への信頼度が高いです。
| 資格 | 費用 | 難易度 | 評価 |
|---|---|---|---|
| OSCP(Offensive Security Certified Professional) | 約20万円 | ★★★★★ | ペンテスター必須級 |
| CEH(Certified Ethical Hacker) | 約15万円 | ★★★☆☆ | 知識系、導入として |
| GPEN(GIAC Penetration Tester) | 約30万円 | ★★★★☆ | SANS系、高い評価 |
| 情報処理安全確保支援士 | 約2万円 | ★★★★☆ | 国家資格、コスパ良い |
| CREST CRT | 約10万円 | ★★★★☆ | 英国発の実技試験 |
まずは情報処理安全確保支援士(コスパ最強)を取得し、その後OSCPに挑戦するルートが現実的です。
→ セキュリティ関連の資格情報を見る
案件獲得の方法
セキュリティ専門エージェント
セキュリティエンジニア専門のエージェントに登録するのが最も効率的です。案件数は限られますが、1件あたりの単価が高いため、月に1〜2件で十分な収入を得られます。
セキュリティベンダーの下請け
LAC、NRIセキュア、トレンドマイクロなどのセキュリティベンダーから、診断案件の一部を外注として受託するケースがあります。
バグバウンティプログラム
HackerOne、Bugcrowd、Intigritiなどのバグバウンティプラットフォームで脆弱性を発見・報告し、報奨金を得る方法です。
有名企業のバグバウンティでは1件あたり数千ドル〜数万ドルの報奨金が支払われます。安定収入にはなりにくいですが、スキルアップと実績作りに最適です。
クラウドソーシング
@SOHOでは手数料0%でセキュリティ診断案件を受注できます。中小企業向けの簡易診断や、セキュリティコンサルティングの案件も掲載されています。
独立前の準備
CTF(Capture The Flag)で腕を磨く
CTFはセキュリティの競技大会で、ペンテスターに必要なスキルを実践的に鍛えられます。
- HackTheBox: 仮想マシンに対するペネトレーション
- TryHackMe: 初心者向けの学習プラットフォーム
- OverTheWire: Linuxの基礎からステップアップ
自宅ラボの構築
VirtualBoxやVMwareで検証環境を構築し、脆弱なアプリケーション(DVWA、WebGoat等)に対して練習します。
法的知識の習得
ペネトレーションテストは、許可なく行えば不正アクセス禁止法違反になります。契約書の作成、テスト範囲の明確化、免責条項の設定など、法的リスク管理の知識は必須です。
体験談:SOCアナリストからペンテスターに転身した話
前職はセキュリティ運用(SOC)のアナリストでした。毎日アラートを監視して攻撃を検知する仕事にやりがいを感じつつも、「攻撃者の視点でシステムを見たい」という思いからペンテスターに転身。
まずOSCPの取得に挑戦。仕事の後に毎日2〜3時間、半年間かけてHackTheBoxとOSCPラボに取り組み、無事合格。その後、セキュリティベンダーに転職してペネトレーションテストの実務を2年積んだ後、フリーランスに独立しました。
現在は月に2〜3件のスポット案件(Webアプリ診断が中心)を受注し、月収100〜150万円で推移しています。バグバウンティからの副収入もあり、年収は1,500万円を超えています。
この仕事の醍醐味は「正当な理由でハッキングできる」ところ。クライアントから感謝されながら、攻撃の技術を磨ける。セキュリティに興味がある人にとって、これ以上面白い仕事はないと思っています。
ペネトレーションテスト案件の契約と法的リスク管理
ペネトレーションテストは「合法的な攻撃」ですが、契約書の不備や範囲の曖昧さが原因で、刑事罰のリスクに直面するケースがあります。フリーランスのペンテスターにとって、技術力と同等に重要なのが契約と法的リスク管理です。
不正アクセス禁止法との関係
経済産業省は、ペネトレーションテストの適正な実施について以下のように示しています。
サイバーセキュリティ対策の実効性を高めるためには、攻撃者の視点に立った診断・テストの実施が不可欠であり、実施にあたっては事前に対象範囲・期間・手法を書面で明確化し、関係者間で合意することが重要である。 出典: www.meti.go.jp
許可なくテストを実施すれば、不正アクセス禁止法第3条違反(3年以下の懲役または100万円以下の罰金)に問われます。クライアントから「口頭でOK」と言われても、必ず書面化することが必須です。
契約書に必ず盛り込む条項
- テスト対象範囲: 対象IPアドレス、ドメイン、URL、サブシステムを明示
- テスト期間: 開始日時と終了日時を分単位で指定
- 禁止行為: DoS攻撃、データ破壊、本番DBへのINSERT/DELETE等
- 緊急停止条件: サービス停止が発生した場合の連絡フロー
- 免責条項: 想定外のシステム障害が発生した場合の責任範囲
- 守秘義務: 発見した脆弱性情報の取り扱い
- 賠償責任の上限: 報酬額の○倍までと明記
第三者システムへの誤爆対策
クライアントが管理していない外部サービス(CDN、外部API、決済代行など)を巻き込むと、関係のない第三者に対する不正アクセスとなります。テスト前に必ずWHOIS、DNSレコード、サードパーティスクリプトを洗い出し、誤爆を防ぐ仕組みを整えましょう。
ペンテスター向け賠償責任保険と事業継続リスク
ペネトレーションテスト中の操作ミスや想定外の挙動で、クライアントの本番システムが停止する事故は実際に発生しています。フリーランスとして長く活動するためには、保険加入とリスク対策が欠かせません。
IT業務専門の賠償責任保険
一般的な個人事業主向けの賠償保険では、サイバーセキュリティ業務はカバー範囲外のことが多いため、専用の保険を選ぶ必要があります。
| 保険種別 | 月額保険料の目安 | 補償額の上限 |
|---|---|---|
| IT業務賠償責任保険 | 5,000〜15,000円 | 1〜5億円 |
| サイバー保険(業務遂行) | 8,000〜25,000円 | 3〜10億円 |
| 弁護士費用特約 | 2,000〜5,000円 | 300〜500万円 |
年間で15〜30万円のコストですが、1回の事故で数千万円の賠償請求を受ける可能性を考えれば、必須の経費と言えます。
過去の事故事例
中小企業庁のサイバーセキュリティ関連資料では、診断業務に起因するシステム障害について次のような注意喚起があります。
中小企業のセキュリティ対策においては、外部委託先による診断・調査作業に伴うシステム停止リスクへの備えとして、契約時の責任範囲の明確化と、委託先の損害賠償能力の確認が必要である。 出典: www.chusho.meti.go.jp
過去には、診断ツールの自動スキャンが過剰なリクエストを発生させ、本番ECサイトを30分間停止させた事例や、SQLインジェクションのペイロード送信でテーブルを誤って更新してしまった事例もあります。クライアントから「うちのペンテスターは保険加入済み」と聞けば、それだけで信頼度が大きく上がります。
単価交渉と継続案件化のコツ
ペネトレーションテストは「単発スポット」になりがちな案件ですが、工夫次第で継続案件に育てることができます。年間契約や定期診断契約に持ち込めれば、収入が安定しやすくなります。
単価を1.5倍に引き上げる交渉術
初回見積もり時に低めの単価を提示されたら、以下の追加サービスを提案して総額を引き上げます。
- 再診断(リテスト)の付帯: 修正後の確認を込みで提案
- 開発者向け勉強会: 発見した脆弱性の解説セッションを別料金で
- CI/CD連携の支援: 自動診断スクリプトの組み込みコンサル
- インシデント対応の年間契約: 万一の侵害時に駆けつける契約
これらを組み合わせると、当初120万円の案件が180〜250万円規模に拡大することは珍しくありません。
年次診断契約への移行
総務省の情報セキュリティ関連ガイドラインでも、定期的な脆弱性診断の実施が推奨されており、年1回の診断を契約化することは正当な提案です。
情報セキュリティ対策においては、システムの変更や新たな脅威の出現を踏まえ、定期的に脆弱性診断やペネトレーションテストを実施し、対策の有効性を継続的に評価することが望ましい。 出典: www.soumu.go.jp
「年1回の定期診断+四半期ごとの差分診断」という形にすれば、年間300〜500万円の安定収入が見込めます。複数社と年次契約を結べば、スポット案件に頼らない経営基盤が築けます。
クライアントとの関係構築
セキュリティ業務は「結果が出にくい」分野です。攻撃を防げているかどうかは、見えないところで効いています。だからこそ、診断レポートとは別に月次のセキュリティ動向レポートを無料で送るなど、目に見える価値を提供することが継続案件化の鍵になります。
よくある質問
Q. 個人所有のPCを業務で使うことはセキュリティ要件違反になりますか?
案件の要件によります。個人PC(BYOD)を許可している企業でも、OSの最新化や指定のアンチウイルスソフト導入などの条件をクリアする必要があります。厳格な案件では、作業専用PCの貸与が行われることもあります。
Q. フリーランスがサイバー保険に加入するメリットは?
大きなメリットがあります。万が一、クライアントの情報が自分のミスや感染によって流出し、損害賠償を請求された場合、その賠償金や弁護士費用、調査費用が補償されます。また、復旧作業を専門業者に依頼する際の費用もカバーされるため、事業継続のための強力な味方になります。
Q. フリーランスがセキュリティポリシーを作成する必要はありますか?
はい。クライアントから「どのようなセキュリティ対策を講じているか」を問われることが増えています。簡単な雛形でも構いませんので、自己の運用ルールを明文化しておくことを強くお勧めします。
Q. フリーランス向けのセキュリティ対策として最低限必要なツールは何ですか?
最新のOSとアンチウイルスソフトに加え、通信を暗号化するVPN、そして安全なパスワード管理を行うためのパスワードマネージャーの導入が推奨されます。これらはリモートワークにおける必須のインフラと言えます。
Q. フリーランスがセキュリティ対策にかける費用の目安はいくらですか?
ウイルス対策ソフトやVPN、パスワードマネージャーなどを合わせて月額1,000〜3,000円程度が相場です。ビジネスを守るための必要経費として、信頼性の高い有料ツールを導入することをおすすめします。
@SOHOでキャリアを加速させよう
@SOHOなら、あなたのスキルを求めているクライアントと手数料無料で直接つながれます。
@SOHOで関連情報をチェック
お仕事ガイド
年収データベース
資格ガイド
この記事を書いた人
斎藤 翔平
フリーランス音楽クリエイター
音楽制作会社でBGM・効果音制作を担当した後、フリーランスに。ポッドキャスト編集やナレーション収録も手がけ、音楽・音声系の記事を執筆しています。
関連記事
カテゴリから探す
クラウドソーシング入門
クラウドソーシングの基礎知識・始め方・サイト比較
副業・在宅ワーク
副業・在宅ワークの始め方と対象者別ガイド
フリーランス
フリーランスの独立・営業・実務ノウハウ
お金・税金
確定申告・節税・経費・ローンなどお金の知識
スキルアップ
プロフィール・提案文・単価交渉などのテクニック
比較・ランキング
サービス比較・おすすめランキング
最新トレンド
市場動向・法改正・AIなど最新情報
発注者向けガイド
クラウドソーシングで外注・人材探しをする企業・個人向け
転職・キャリア
転職エージェント・転職サイト比較・キャリアチェンジ
看護師
看護師の転職・副業・フリーランス・キャリアガイド
薬剤師
薬剤師の転職・副業・キャリアパスガイド
保険
生命保険・医療保険・フリーランスの保険設計
採用・求人
無料求人掲載・採用コスト削減・人材募集の方法
オフィス・ワークスペース
バーチャルオフィス・コワーキング・レンタルオフィス
法律・士業
契約トラブル・士業独立開業・フリーランス新法
シニア・50代
シニア世代のキャリアチェンジ・副業・年金
セキュリティ
サイバーセキュリティ・脆弱性対策・情報保護
金融・フィンテック
暗号資産・決済・ブロックチェーン・金融テクノロジー
経営・ビジネス
経営戦略・ガバナンス・事業承継・知財
ガジェット・機材
フリーランスに役立つPC・デバイス・周辺機器
子育て×働き方
子育てと在宅ワークの両立・保育園・時間管理
補助金・助成金
個人事業主・フリーランスが使える公的補助金・助成金・給付金の申請ガイド